Router abbandonati: un arsenale di 0-day pronto all’uso

I dispositivi obsoleti rappresentano una minaccia spesso sottovalutata. Un recente studio condotto da Trail of Bits durante la competizione DistrictCon Junkyard ha dimostrato come router e dispositivi di rete abbandonati dai produttori possano trasformarsi in armi perfette per attacchi 0-day.

L’esperimento: Netgear WGR614v9 e Bitdefender Box V1

I ricercatori hanno preso di mira due dispositivi fuori produzione: il router Netgear WGR614v9 e il Bitdefender Box V1, un dispositivo di sicurezza per reti domestiche. Entrambi, pur non ricevendo più aggiornamenti, sono ancora presenti in molte reti, soprattutto in ambito domestico e PMI.

Netgear: UPnP come vettore d’attacco

L’analisi del router Netgear è partita dallo studio hardware, identificando le interfacce di debug e i chip di memoria. Dopo aver estratto il firmware con strumenti come binwalk e unblob, i ricercatori hanno scoperto che il demone UPnP (upnpd) era vulnerabile a una serie di exploit:

• Bypass dell’autenticazione nei gestori SOAP.

• Buffer overflow nei segmenti BSS e nello stack.

• Iniezione di comandi tramite ROP (Return-Oriented Programming).

Uno degli approcci più creativi, soprannominato "bashsledding", sfruttava l’iniezione di gadget ROP per chiamare system(), scrivendo il payload nella memoria NVRAM attraverso un meccanismo di lock di dominio. Per aggirare le dipendenze dagli offset di memoria, sono state usate lunghe catene di spazi interpretate da bash prima dell’esecuzione del comando effettivo.

Un altro exploit, "bigfish_littlepond", modificava il puntatore a una stringa passata a una shell di comando, sfruttando un processo ausiliario chiamato bpa_monitor.

Bitdefender Box: il pericolo dei rollback firmware

Il dispositivo Bitdefender Box V1, progettato per proteggere le reti domestiche, presentava una vulnerabilità critica nel sistema di aggiornamento: era possibile reinstallare una versione precedente del firmware senza autenticazione. I ricercatori hanno sfruttato questa falla per ripristinare una versione vulnerabile e bypassare i controlli di integrità.

Analizzando un APK archivio dell’app mobile associata, è stata recuperata una versione del firmware (1.3.11.490) ancora firmata con una chiave valida. L’endpoint /check_image_and_trigger_recovery non filtrava correttamente il parametro md5, permettendo l’iniezione di comandi come l’aggiunta di una chiave SSH in authorized_keys.

Lezioni apprese

1. UPnP è un vettore privilegiato: molti servizi UPnP girano con permessi elevati e sono esposti ad attacchi se non adeguatamente filtrati.

2. Il rollback firmware è un rischio: la mancanza di controlli sulle versioni precedenti può annullare anni di patch di sicurezza.

3. L’hardware abbandonato è un bersaglio facile: dispositivi senza supporto diventano rapidamente obsoleti dal punto di vista della sicurezza, ma rimangono in uso.

Esempio di codice: iniezione comandi in Bitdefender Box

Ecco come i ricercatori hanno sfruttato l’endpoint vulnerabile:

POST /check_image_and_trigger_recovery HTTP/1.1  
Host: <device_ip>  
Content-Type: application/octet-stream  

{"md5":"'; echo 'ssh-rsa AAAAB3...' >> /root/.ssh/authorized_keys; #"}

La competizione Junkyard ha evidenziato un problema sistemico: i dispositivi abbandonati sono minacce dormienti. A differenza di contesti come Pwn2Own, qui l’obiettivo non è dimostrare abilità tecniche, ma sensibilizzare su un rischio concreto.

Cosa fare quindi?

• Eliminare o isolare i dispositivi non più supportati.

• Monitorare gli endpoint UPnP e disabilitarli se non necessari.

• Verificare i meccanismi di aggiornamento per evitare rollback pericolosi.